Аудит в кредитных финансовых организациях, некредитных финансовых организациях, а также субъектов национальной платежной системы согласно требованиям ЦБ
Аудит – систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации по обеспечению информационной безопасности, включающих в себя качественные и количественные оценки о текущем состоянии информационной безопасности.
С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой — согласно вступившим в силу Положениям № 672-П, № 683-П и № 684-П. К этому времени финансовые организации уже должны обеспечить необходимый уровень информационной безопасности.
Основные нормативно-правовые акты, в соответствии
с которыми проводится аудит кредитных финансовых организациях, некредитных финансовых организациях,
а также субъектов национальной платежной системы.
Специалисты «ИЦСБ» помогут минимизировать информационные и правовые риски, связанные с невыполнением требований законодательства РФ по безопасности информации в государственных информационных системах (ГИС).
- Положением Банка России от 17 апреля 2019 г. N 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”
- ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
- ГОСТ Р 57580.2-2018. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
Аудит в некредитных финансовых организациях проводится в соответствии с:
- Положением Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”
- ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
- ГОСТ Р 57580.2-2018. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
Аудит для платежных систем проводится в соответствии с:
- Положением Банка России от 9 января 2019 г. № 672-П “О требованиях к защите информации в платежной системе Банка России”
- ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
- ГОСТ Р 57580.2-2018. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
Согласно ГОСТ Р 57580.1-2017 устанавливаются 3 уровня защиты информации:
уровень 3
Минимальный (для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования, установленные для уровня 3);
уровень 2
Стандартный (для обеспечения соответствия третьему и второму уровням защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования для уровня 2);
уровень 1
Усиленный (для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн рекомендуется использовать требования для уровня 1).
В ГОСТ Р 57580.1-2017 установлены требования к содержанию базового состава мер защиты информации для следующих процессов:
Обеспечение защиты информации при управлении доступом:
- управление учетными записями и правами субъектов логического доступа
- идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа
- защита информации при осуществлении физического доступа
- идентификация, классификация и учет ресурсов и объектов доступа
Обеспечение защиты вычислительных сетей:
- сегментация и межсетевое экранирование вычислительных сетей
- выявление сетевых вторжений и атак
- защита информации, передаваемой по вычислительным сетям
- защита беспроводных сетей
Обеспечение защиты информации при управлении доступом:
Контроль целостности и защищенности информационной инфраструктуры
Предотвращение утечек информации
- мониторинг и анализ событий защиты информации
- обнаружение инцидентов защиты информации и реагирование на них
Управление инцидентами защиты информации:
Защита среды виртуализации
Защита информации при осуществлении удаленного логического доступа
с использованием мобильных (переносных) устройств
С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 становится обязательной процедурой — согласно вступившим в силу Положениям № 672-П, № 683-П и № 684-П. К этому времени финансовые организации уже должны обеспечить необходимый уровень информационной безопасности.
Способом проверки соответствия защиты информации является оценка выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1 (далее — оценка соответствия защиты информации) независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации как минимум на один из следующих видов работ и услуг:
- контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации
- проектирование в защищенном исполнении средств и систем информатизации
- установка, монтаж, испытания, ремонт средств защиты информации [программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации]
Оценку соответствия ЗИ осуществляют по следующим направлениям:
- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации
- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации
- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации